Ambiti di Applicazione di NIS2
La NIS 2 identifica meglio le entità interessate: si tratta di organizzazioni le cui infrastrutture possono definirsi critiche.
Nello specifico la NIS2 identifica due principali categorie di entità soggette ai suoi requisiti:
Entità Essenziali
Questa categoria comprende settori già considerati critici sotto la Direttiva NIS originale, come:
Energia
Trasporti
Salute
Servizi Finanziari
E aggiunge nuovi settori come:
Gestione delle risorse idriche
Gestione dei rifiuti
Amministrazione pubblica
Questo ampliamento di applicazione riflette la crescente importanza delle infrastrutture digitali in diversi ambiti delle società moderne.
Entità Importanti
La seconda categoria di entità introdotta con NIS2 riguarda organizzazioni definite come “importanti”. Queste entità operano in settori non considerati come “critici”, ma forniscono servizi digitali per settori delicati.
Requisiti della NIS2
I requisiti della Direttiva NIS2 si concentrano su vari aspetti della sicurezza informatica, con l’obiettivo di rafforzare la resilienza e la risposta agli incidenti delle entità nell’UE:
Misure di Sicurezza Tecniche e Organizzative
Le entità devono adottare misure adeguate al fine di gestire i rischi per la sicurezza delle reti e dei sistemi informativi. Questo include la sicurezza fisica e informatica, la gestione degli incidenti e il mantenimento della continuità operativa.
Gestione degli Incidenti e obbligo di notifica
Le organizzazioni devono stabilire procedure chiare per la gestione degli incidenti di sicurezza.
Gli incidenti devono essere rilevati, gestiti e notificati alle autorità competenti (in alcuni casi anche al pubblico).
Gestione del rischio
Le entità coinvolte sono tenute a effettuare una valutazione del rischio regolarmente.
In base alla valutazione del rischio si devono identificare misure di sicurezza adeguate rispetto al livello di rischio rilevato.
Risorse e Formazione
Un ulteriore aspetto sottolineato dalla NIS 2 è la necessità di prevedere un budget dedicato alla sicurezza informatica e di formare il personale coinvolto nella gestione della sicurezza delle reti e dei sistemi informativi.
Sinergia e Scambio di Informazioni
La NIS 2 promuove la sinergia tra entità interessate e tra le entità interessate e le autorità. Viene promosso lo scambio di informazioni in merito a minacce, vulnerabilità e procedure di mitigazione. Questo punto è considerato fondamentale per migliorare il know-how della collettività e la resilienza agli attacchi informatici.
Sanzioni
La Direttiva NIS 2 stabilisce che gli Stati membri devono prevedere sanzioni efficaci e naturalmente proporzionate per le violazioni dei requisiti di queste norme. Il fine ultimo ovviamente è quello di avere degli strumenti dissuasivi rispetto alle violazioni.
Controllo della Conformità
Le autorità di ogni Stato avranno maggiori poteri di controllo rispetto alla conformità: potranno prevedere ispezioni, audit e potranno richiedere alle entità di adottare misure correttive in caso di non conformità.